Cabecera-v2-web.jpg

Vulnerabilidad de cross-site scripting (XSS) detectada en Directus CMS


11/04/2022

Se ha publicado una actualización de seguridad que subsana una vulnerabilidad en Directus CMS, que permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) en la funcionalidad de carga de archivos.

La vulnerabilidad reportada CVE-2022-24814 de severidad alta, con una puntuación asignada de 8.8. Esta falla se debe a que se podría ejecutar código JavaScript (JS) no autorizado insertando un iframe en la interfaz html, que se vincula a un archivo HTML con código que a su vez permite que el archivo ejecute cualquier JS arbitrario. Un atacante podría aprovechar esta vulnerabilidad y realizar ataques del tipo cross-site scripting (XSS) en la funcionalidad de carga de archivos del CMS.

Las versiones afectadas son:

  • Directus versión 9.6.0 y anteriores.

Recomendamos instalar la actualización correspondiente provista por el fabricante, mediante el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11